Организация защиты информации в корпоративных сетях. Управление сетевыми политиками

корпоративной сети. В зависимости  от реализуемого набора  служб     в 

корпоративной сети должны использоваться свои средства управления

сетью, в частности средства маршрутизации и коммутации; средства

администрирования, реализуемые  с целью эффективного использования 

сетевых ресурсов. По возможности управления элементами корпоративной

сети можно выделить:

    • управляемые  в рамках корпорации функциональные  элементы

(это собственные, или  дополнительно вводимые в рамках

корпоративной сети средства);

    • не управляемые  в рамках корпорации функциональные  элементы,

(в частности, маршрутизаторы  и коммутаторы), являющиеся

принадлежностью используемых корпорацией подсетей общего

назначения.

 Система     управления      безопасностью     функционирования

корпоративной сети. В корпоративной  сети должны быть реализованы 

необходимые сетевые службы безопасности, должны использоваться

соответственно средства безопасности.

 Система обеспечения  надежности корпоративной сети. Должны

 быть предусмотрены  средства обеспечения работоспособности всей сети,

 либо ее фрагментов  при отказах элементов сети.

 

  Система диагностики  и контроля. В рамках корпоративной  сети

должны        быть    предусмотрены       средства     контроля

работоспособности отдельных  функциональных элементов, система

сбора информации об отказах  и сбоях и предоставления ее системам

обеспечения живучести; управления эффективностью 

функционирования;       управления      безопасностью.      Для

корпоративной сети должны быть разработаны средства диагностики,

реализуемые как в процессе функционирования сети, так и

профилактически.

 Система эксплуатации. Кроме перечисленных функциональных

 элементов, корпоративные  сети связи должны иметь план (гипотезу)

процесса развития, в большой  мере определяющий закладываемые в  нее 

функциональные возможности, в частности на уровне протоколов

взаимодействия сетевых  компонент и  возможности их интеграции.

  Обобщая введенные  признаки корпоративных сетей,  получим

возможную их классификацию:

   • по набору функциональных элементов;

   • по иерархии  управления; здесь под локальной подсистемой

     понимается  некоторая функциональная подсистема,

     классификация  которых для системы управления безопасностью;

   • по набору (типу  и количеству) объединяемых в  рамках

     корпоративной  сети подсетей общего пользования;

   • по набору (типу  и количеству) реализуемых в рамках

     корпоративной  сети телеслужб.

 

3. Общие требования к администрированию сети.

 

С учетом введенных классификационных  признаков можно

получить некоторую обобщенную структуру корпоративной сети.

Практически любая корпоративная  сеть будет содержать фрагменты

приведенной обобщенной структуры.

  В рамках данной  сети должна быть реализована  вторичная сеть

связи - система управления. Здесь также могут использоваться выделенные

каналы.

   В основе системы  управления корпоративной сети  должны лежать

следующие принципы:

   • совмещение администрирования  отдельных функциональных

     подсистем  (вопрос эффективности не может  решаться вне

     рассмотрения  вопроса живучести сети, а вопрос  безопасности без

     учета эффективности  и живучести (другими словами,  при

     изменении  уровня безопасности, например, изменяется  и

     эффективность,  что должно быть учтено);

   • централизованное/распределенное               администрирование,

     предполагающее, что основные задачи администрирования

     должны решаться  из центра (основной фрагмент  сети);

вторичные задачи (например, в рамках удаленных фрагментов)

средствами

  управления отдельных  подсистем;

• в рамках управляющей  системы должны быть реализованы

  функции системы автоматического  управления. С целью

  повышения оперативности  реакции системы управления на 

особо

  важные события, в  системе должна реализоваться 

автоматическая

  обработка особо важных  воздействий;

• в рамках системы безопасности должен быть реализован

  адаптивного управления  безопасностью адекватно изменению

  соответствующих событий  (например, система обнаружения атак

  может блокировать  локальный порт в случае атаки  типа «отказ в

  обслуживании»).

 

 

 

 

 

4. Система управления корпоративной сетью.

 

 

• Для повышения эффективности  и надежности системы управления

необходимо предусмотреть  экспертную систему – систему

«подсказок» для выработки  управляющих воздействий на

различные события.

 

• информационные серверы (с  точки зрения обеспечения

безопасности сети имеет  смысл сконцентрировать все

информационные серверы, обеспечивая для них необходимую

защиту организационными и техническими мероприятиями);

 

• администрирование всеми  функциональными подсистемами для

корпоративных сетей, использующих ограниченное число

дополнительных средств  реализации функциональных подсистем

(например, маршрутизаторов)  может быть сконцентрировано  в

основном фрагменте;

 

• подключение к общедоступным  сервисам (сеть Интернет)

осуществляется с выделенных рабочих мест основного фрагмента

(здесь используются соответствующие  средства защиты,

подключения к глобальным сетям в общем случае отличные от

остальных).

 

Именно структура корпоративной  сети, приведенная на

рис.15, может быть рекомендована  как типовая для большинства  мелких

и средних корпораций (структура  сети, приведенная на рис.13

предполагает    реализацию    сети     для    очень   разветвленной

инфраструктуры корпорации).

 

Итак, в данном разделе  приведены два граничных варианта

структур корпоративной  сети, граничных в том смысле, что отличаются

максимальной и минимальной  сложностью структуры. На практике большинство корпоративных сетей по сложности организации занимают некоторое промежуточное положение, соответственно в большей мере тяготея к одному из рассмотренных вариантов.

 

5. Структура управления эффективностью функционирования сети. Основные требования.

 

Рассмотрим       структуру     управления     эффективностью

функционирования сети в  рамках приведенных структур сети и

перечисленных ранее основных принципов администрирования.

В рамках корпоративной, как  и в любой иной сети связи, должны

быть реализованы все  основные функции сетевых протоколов

корпоративных сетей:

• маршрутизация;

• коммутация;

• управление        потоками     (обеспечение    эффективности

функционирования при  высокой загрузке);

• контроль времени жизни  пакета.

 

Также как в любой иной сети задачи управления эффективностью

решаются в рамках вторичной (наложенной) сети связи.

Эффективное управление функционированием  корпоративной сети

может быть обеспечено только при динамической маршрутизации, где

маршруты должны выбираться адаптивно к топологии и нагрузки в

сети.

 

Изменение маршрутов адаптивно  к изменению

топологии реализуется совместно  с системой управления живучестью

сети.

Иерархическая структура  системы управления эффективностью

приведена на рис.16, где маршрутизатор  может рассматриваться в

качестве узла коммутации корпоративной сети.

Замечание. WAN общего пользования  закрыты для управления в

рамках корпоративной  сети (если только это не сети Х.25, где  при

установлении     соединения     возможно    согласование   качества

обслуживания, включая задание  маршрутов), поэтому в общем случае

фрагмент сети WAN следует  рассматривать как виртуальный (не

управляемый) канал.

 

Структура системы управления эффективностью корпоративной

сети представлена на рис.17, потоки информации в системе управления.

 

Идеология      централизованного/распределенного     управления

эффективностью состоит  в следующем:

• из единого центра реализуется  управление узлами коммутации

(маршрутизаторами, именно  это позволяет строить эффективные

корпоративные сети);

 

• локальные    администраторы        фрагментов      управляют

соответствующими ЛВС.

 

Отсюда получаем следующие  требования к элементам управления:

• администратор корпоративной  сети должен осуществлять сбор

информации о состоянии  сетевых компонент, в том числе  и от

удаленных фрагментов; должен обрабатывать эту информацию в

соответствии с реализуемым  алгоритмом управления, должен

вырабатывать    и   выдавать    к    объектам     управления

соответствующие команды;

• маршрутизатор должен удалено управляться; осуществлять сбор

обработки и передачу информации (в рамках системы сбора

информации) о состоянии  соответствующих компонент

корпоративной сети;

• администраторы ЛВС должны обеспечивать сбор обработки и

передачу необходимой  информации о состоянии сетевых

компонент ЛВС, управлять  ЛВС в рамках           прописанных

полномочий.

 

6. Обобщенная структура системы управления.

 

Структура управления безопасностью сети.

 

Система обеспечения безопасности информации должна иметь

многоуровневую структуру  и включать следующие уровни:

• уровень защиты автоматизированных рабочих мест (АРМ);

• уровень защиты локальных  сетей и информационных серверов;

• уровень защиты корпоративной  АС.

 

На уровне защиты автоматизированных рабочих мест должна

осуществляться идентификация  и аутентификация пользователей

операционной системы. Должно осуществляться управление доступом:

предоставление доступа  субъектов к объектам в соответствии с

матрицей доступа, выполнение регистрации и учета всех действий

субъекта доступа в  журналах регистрации. Должна быть обеспечена

целостность программной  среды, периодическое тестирование средств

защиты     информации.    Рекомендуется    обеспечение  защиты

сертифицированными Гостехкомиссией  России средствами защиты от

несанкционированного доступа. Такие средства защиты должны

обладать гибкими средствами настройки и возможностью удаленного

администрирования.

 

Уровень защиты локальных  сетей и сетевых серверов должен

обеспечивать:

• идентификацию пользователей  и установление подлинности

доступа в систему, к компонентам;

• защиту аутентификационных данных;

• установление подлинности  при доступе к серверам;

• пропуск аутентификационной информации от одного компонента до другого без переустановки подлинности доступа. Механизмы защиты должны быть способны создавать, обслуживать (поддерживать) и защищать от модификации или неправомочного доступа или разрушения аутентификационную информацию и матрицу доступа к объектам.

Должна осуществляться регистрация  следующих событий:

• использование идентификационных  и аутентификационных

механизмов;

• действия пользователей  с критическими объектами;

• уничтожения объектов;

• действия, предпринятые операторами  и администраторами

системы и/или офицерами  безопасности;

• другие случаи безопасности.

 

Параметры регистрации:

• дата и время события;

• пользователь;

• тип случая;

• успешная или неуспешная попытка

для идентификации/аутентификации дополнительно

• происхождение запроса (например, локальная или сетевая

аутентификация);

Для случаев уничтожения объектов и доставки информации в место адреса пользователя:

• название объекта.

 

Администратор системы должен быть способен выборочно

контролировать действия любого пользователя или группы

пользователей на основании  индивидуальной идентичности.

Средства защиты информации должны иметь модульную

структуру, каждый модуль должен поддерживать область памяти для

собственного выполнения. Для каждого модуля СЗИ, каждого

компонента СЗИ, разделенного в АС, должна обеспечиваться изоляция

ресурсов, нуждающихся в  защите так, чтобы они подчинялись

контролю доступа и  требованиям ревизии.

 

 

Периодическое тестирование правильности функционирования

аппаратных средств, микропрограммных элементов СЗИ, программного